DTrack\Maui Ransomware IOCs

ransomware IOC

Используя предупреждение CISA AA22-187A, компания "Касперский" установила, что атрибуция недавних заражений Maui ransomware и DTrack принадлежит северокорейской группе Andariel (также известной как Stonefly или Silent Chollima). Касперский определил, что примерно за десять часов до развертывания Maui на первоначальной целевой системе, группа развернула на ней вариант хорошо известного вредоносного ПО DTrack, которому предшествовал 3proxy несколькими месяцами ранее.


Согласно данным Kaspersky Threat Attribution Engine (KTAE), вредоносная программа DTrack, полученная от жертвы, содержит высокую степень сходства кода (84%) с ранее известными вредоносными программами DTrack.

Основываясь на способе действия этой атаки, Касперский приходит к выводу, что TTP актора, стоящего за инцидентом с Maui ransomware, удивительно похожа на прошлую деятельность Andariel/Stonefly/Silent Chollima:

  • Использование легитимных прокси- и туннельных инструментов после первоначального заражения или их развертывание для сохранения доступа, а также использование сценариев Powershell и Bitsadmin для загрузки дополнительных вредоносных программ;
  • использование эксплойтов для атак на известные, но непропатченные уязвимые публичные службы, такие как WebLogic и HFS;
  • эксклюзивное развертывание DTrack, также известного как Preft;
  • Время пребывания в целевых сетях до начала активности может длиться месяцами;
  • Развертывание программ-выкупов в глобальном масштабе, что демонстрирует постоянную финансовую мотивацию и масштаб интересов.

Indicators of Compromise

IPv4

  • 145.232.235.222

URLs

  • http://145.232.235.222/usr/users/dwem.cert
  • http://145.232.235.222/usr/users/mini.ps1
  • http://145.232.235.222/usr/users/mini.ps1)

MD5

  • 2f553cba839ca4dab201d3f8154bae2a
  • 5bc4b606f4c0f8cd2e6787ae049bf5bb
  • 739812e2ae1327a94e441719b885bd19
  • 87e3fc08c01841999a8ad8fe25f12fe4
  • 95247511a611ba3d8581c7c6b8b1a38a
  • ad4eababfe125110299e5a24be84472e
  • cf236bf5b41d26967b1ce04ebbdb4041
  • f2f787868a3064407d79173ac5fc0864

SHA1

  • 102a6954a16e80de814bee7ae2b893f1fa196613
  • 1c4aa2cbe83546892c98508cad9da592089ef777
  • 94db86c214f4ab401e84ad26bb0c9c246059daff
  • feb79a5a2bdf0bcf0777ee51782dc50d2901bb91

SHA256

  • 60425a4d5ee04c8ae09bfe28ca33bf9e76a43f69548b2704956d0875a0f25145
  • 6122c94cbfa11311bea7129ecd5aea6fae6c51d23228f7378b5f6b2398728f67
  • 92adc5ea29491d9245876ba0b2957393633c9998eb47b3ae1344c13a44cd59ae
  • a557a0c67b5baa7cf64bd4d42103d3b2852f67acf96b4c5f14992c1289b55eaa

SEC-1275-1
Добавить комментарий